你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

适用于 Microsoft Sentinel 的 Rubrik Security Cloud 数据连接器(使用 Azure Functions)

Rubrik Security Cloud 数据连接器使安全运营团队能够将 Rubrik 数据可观测性服务提供的见解集成到 Microsoft Sentinel 中。 这些见解包括识别与勒索软件和大规模删除相关的异常文件系统行为和评估勒索软件攻击的冲击范围,可帮助敏感数据操作员确定优先级并更快地调查潜在事件。

这是自动生成的内容。 有关更改,请联系解决方案提供商。

连接器属性

连接器属性 说明
Azure 函数应用代码 https://aka.ms/sentinel-RubrikWebhookEvents-functionapp
Log Analytics 表 Rubrik_Anomaly_Data_CL
Rubrik_Ransomware_Data_CL
Rubrik_ThreatHunt_Data_CL
数据收集规则支持 目前不支持
支持的服务 Rubrik

查询示例

Rubrik 异常事件 - 所有严重性类型的异常事件。

Rubrik_Anomaly_Data_CL

| sort by TimeGenerated desc

Rubrik 勒索软件分析事件 - 所有严重性类型的勒索软件分析事件。

Rubrik_Ransomware_Data_CL

| sort by TimeGenerated desc

Rubrik 威胁搜寻事件 - 所有严重性类型的威胁搜寻事件。

Rubrik_ThreatHunt_Data_CL

| sort by TimeGenerated desc

先决条件

若要与 Rubrik Security Cloud 数据连接器(使用 Azure Functions)集成,请确保拥有:

供应商安装说明

注意

此连接器使用 Azure Functions 连接到 Rubrik webhook,后者将此连接器的日志推送到 Microsoft Sentinel。 这可能会导致额外的数据引入成本。 有关详细信息,请参阅 Azure Functions 定价页

(可选步骤)将工作区和 API 授权密钥或令牌安全地存储在 Azure 密钥保管库中。 Azure Key Vault 提供了一种存储和检索键值的安全机制。 按照这些说明,将 Azure Key Vault 与 Azure 函数应用结合使用。

步骤 1 - 从以下两个部署选项中选择一个来部署连接器和关联的 Azure 函数

重要说明:在部署适用于 Microsoft Sentinel 的 Rubrik 数据连接器之前,请准备好工作区 ID 和工作区主密钥(可从下面复制)

选项 1 - Azure 资源管理器 (ARM) 模板

使用此方法自动部署 Rubrik 连接器。

  1. 单击下面的“部署到 Azure” 按钮。

    部署到 Azure

  2. 选择首选的“订阅”、“资源组”和“位置”。

  3. 输入以下信息:函数名称、工作区 ID、工作区密钥、Anomalies_table_name、RansomwareAnalysis_table_name、ThreatHunts_table_name、LogLevel

  4. 选中“我同意上述条款和条件”复选框。

  5. 单击“购买”进行部署。

选项 2 - 手动部署 Azure Functions

请按照以下分步说明,使用 Azure Functions 手动部署适用于 Microsoft Sentinel 的 Rubrik 数据连接器(通过 Visual Studio Code 进行部署)。

1. 部署函数应用

注意:需要为 Azure 函数开发准备 VS 代码

  1. 下载 Azure 函数应用文件。 将存档提取到本地开发计算机。

  2. 启动 VS Code。 在主菜单中选择“文件”,然后选择“打开文件夹”。

  3. 从提取的文件中选择顶级文件夹。

  4. 在活动栏中选择 Azure 图标,然后在“Azure: Functions”区域中选择“部署到函数应用”按钮。 如果尚未登录,请在活动栏中选择 Azure 图标,然后在“Azure: Functions”区域中选择“登录到 Azure”。如果已登录,请转到下一步。

  5. 根据提示提供以下信息:

    a. 选择文件夹:从工作区中选择一个文件夹,或浏览到包含函数应用的文件夹。

    b. 选择订阅:选择要使用的订阅。

    c. 选择“在 Azure 中创建新的函数应用”(不要选择“高级”选项)

    d. 为函数应用输入全局唯一名称:键入在 URL 路径中有效的名称。 将对你键入的名称进行验证,以确保其在 Azure Functions 中是唯一的。 (例如 RubrikXXXXX)。

    e. 选择运行时:选择 Python 3.8 或更高版本。

    f. 选择新资源的位置。 为了提高性能、降低成本,请选择 Microsoft Sentinel 所在的同一区域

  6. 将开始部署。 创建函数应用并应用了部署包之后,会显示一个通知。

  7. 转到 Azure 门户,获取函数应用配置。

2. 配置函数应用

  1. 在函数应用中选择“函数应用名称”,然后选择“配置”。
  2. 在“应用程序设置”选项卡中,选择“+ 新建应用程序设置” 。
  3. 分别添加以下每个应用程序设置及其各自的值(区分大小写):WorkspaceID、WorkspaceKey、Anomalies_table_name、RansomwareAnalysis_table_name、ThreatHunts_table_name、LogLevel、logAnalyticsUri(可选)
  • 使用 logAnalyticsUri 替代专用云的 log Analytics API 终结点。 例如,如果使用的是公有云,将值留空;如果使用的是 Azure GovUS 云环境,则指定以下格式的值:https://<CustomerId>.ods.opinsights.azure.us
  1. 输入所有应用程序设置后,单击“保存”。

部署后的步骤

  1. 获取函数应用终结点
  1. 转到 Azure 函数“概述”页,然后单击“函数”选项卡
  2. 单击名为“RubrikHttpStarter”的函数
  3. 转到“GetFunctionurl”并复制函数 URL
  1. 在 RubrikSecurityCloud 中添加 Webhook 以将数据发送到 Microsoft Sentinel。

按照 Rubrik 用户指南中的说明添加 Webhook,以开始接收与勒索软件异常相关的事件信息

  1. 选择“常规”作为 Webhook 提供程序(这将使用 CEF 格式的事件信息)
  2. 对于 Rubrik Microsoft Sentinel 解决方案,输入复制的函数 URL 中的 URL 部分作为 Webhook URL 终结点,并将 {functionname} 替换为“RubrikAnomalyOrchestrator”
  3. 选择“高级或自定义身份验证”选项
  4. 输入 x-functions-key 作为 HTTP 标头
  5. 输入函数访问密钥(复制的函数 URL 中的代码参数值)作为 HTTP 值(注意:如果今后在 Microsoft Sentinel 中更改了此函数访问密钥,则需要更新此 Webhook 配置)
  6. 将 EventType 选择为“异常”
  7. 选择以下严重性级别:严重、警告、信息性
  8. 重复相同的步骤,添加用于勒索软件调查分析和威胁搜寻的 Webhook。

注意:添加用于勒索软件调查分析和威胁搜寻的 Webhook 时,在复制的函数 URL 中,将 {functionname} 分别替换为“RubrikRansomwareOrchestrator”和“RubrikThreatHuntOrchestrator”

现在我们已完成 Rubrik Webhook 配置。 触发 Webhook 事件后,你应该可以在相应的 LogAnalytics 工作区表(名为“Rubrik_Anomaly_Data_CL”、“Rubrik_Ransomware_Data_CL”、“Rubrik_ThreatHunt_Data_CL”)中看到来自 Rubrik 的异常、勒索软件调查分析和威胁搜寻事件。

后续步骤

有关详细信息,请转到 Azure 市场中的相关解决方案